FortiGate トランスペアレントモードで HA 構成時の管理用 IP アドレス設定について解説

本記事について

本記事では、Fortinet 社のファイアウォール製品である FortiGate に関して、トランスペアレントモードで HA を構成した際の管理用 IP アドレスの設定方法について説明します。

動作確認環境

本記事の内容は以下の機器にて動作確認を行った結果に基づいて作成されています。

• FortiGate-60F
  • バージョン 7.4.3

トランスペアレントモードでの管理 IP アドレスについて

トランスペアレントモードの FortiGate では、各インターフェースに対して IP アドレスを設定できません。

そのため、管理 IP アドレスはシステム設定にて FortiGate 自体に対して一つのアドレスだけを設定します。

その設定箇所はconfig system settingsのmanageipです。

config system settings
    set manageip 10.1.1.100/255.255.255.0
end

HA では管理 IP アドレス設定は同期される

トランスペアレントモードの HA では、上で説明した管理 IP アドレスの設定はプライマリ機とセカンダリ機で同期されて同じ設定になります。

よって、manageipで設定したアドレス宛にアクセスをした場合、常にプライマリ機に接続されることになります。

「管理インターフェースの予約」を設定する

NAT モードの HA では、機器別に独自の IP アドレスを持たせて各機器にアクセスできるようにするために、HA 設定における「管理インターフェースの予約」を設定します。

トランスペアレントモードでも同様に HA 設定の中で「管理インターフェースの予約」を行うことができます。

管理インターフェースとして設定したインターフェースはルーテッドポート（L3 インターフェース）となります。よって当該インターフェースに対しては IP アドレスを設定することができます。

GUI では「システム > HA」から表示できる設定画面にて、「管理インターフェースの予約」という項目があるためそこで設定ができます。

この設定画面では管理インターフェースとして割り当てる物理インターフェースと、管理インターフェースのゲートウェイアドレスと、必要に応じて宛先サブネットを設定できます。

CLI で設定する場合は以下の項目で設定できます。

config system ha
    set ha-mgmt-status enable
    config ha-mgmt-interfaces
        edit 1
            set interface "internal5"
            set dst 0.0.0.0 0.0.0.0
            set gateway 10.1.1.211
        next
    end
end

管理インターフェースの IP アドレスの設定

NAT モードでは管理インターフェースの IP アドレスは GUI の対象インターフェースの設定画面で設定することができます。一方、トランスペアレントモードではインターフェース設定画面に IP アドレスの設定項目が表示されず設定ができません。このため管理インターフェースの IP アドレスは CLI で設定する必要があります。

設定方法は NAT モードでの方法と同様です。必要に応じて管理アクセス設定 (allowaccess) も行います。

config system interface
    edit "internal5"
        set ip 10.1.1.101 255.255.255.0
        set allowaccess ping https ssh
    next
end

管理インターフェースにはプライマリ機とセカンダリ機で異なる IP アドレスを設定できるため、それぞれで異なる IP アドレスを設定します。

トランスペアレントモード HA では 3 つのアドレスが必要

以上の内容からトランスペアレントモードの HA では以下の 3 つのアドレスを FortiGate に設定する必要があることになります。

• config system settingsのmanageip
• プライマリ機の管理インターフェースの IP アドレス
• セカンダリ機の管理インターフェースの IP アドレス

なお、①と②③で同じセグメントの IP アドレスを設定することも可能です。管理インターフェースは内部的には root VDOM とは別の VDOM (vsys_hamgmt) に所属するインターフェースとなっているためです。

以上です。

【おすすめ】FortiGate の設計構築中なら以下の記事も役立つかもです

• 基礎知識
  • FortiGate の設計構築を初めて行う人へ基礎知識を共有します
  • FortiGate メーカー公式マニュアル利用ガイド
  • FortiGate コンフィグの仕組みと CLI 設定変更ガイド
  • 初期設定
    • FortiGate 初期設定を CLI で実施するためのマニュアル
    • FortiGate デフォルトで存在する不要な設定の削除マニュアル
  • 基本操作
    • FortiGate のコンフィグ初期化及びローカルログ削除マニュアル
    • FortiGate コンフィグのバックアップ及びリストア実施マニュアル
    • FortiGate CLI でのコンフィグバックアップ・リストア実行ガイド
    • FortiGate コンフィグのリビジョン管理と設定リストア実行ガイド
    • FortiGate Ping を打ち続けたりソースアドレスを指定したりする方法
  • バージョンアップ
    • 【詳解】FortiGate OS バージョンアップマニュアル
    • FortiGate CLI でのバージョンアップ実施ガイド
    • FortiGate バージョン変更後に Fatal error: Loading FOS fails! となり起動できない場合の対処方法
    • FortiGate HA 構成でのバージョンアップ実施ガイド【動作仕様と断時間】 ※note記事
• HA (冗長構成) 設定
  • FortiGate HA モードの Active-Passive と Active-Active の違いを解説します
  • FortiGate HA(冗長構成)の概要と設定ガイド【詳しく解説】※note記事
  • FortiGate HA 構成時のコンフィグ同期の仕様について解説します
  • FortiGate HA 構成時の NTP,Syslog,SNMP 等の送信元インターフェースを解説 [ha-direct 設定]
  • FortiGate HA 構成時の仮想 MAC アドレスについて解説します
  • FortiGate HA ハートビート送信間隔と障害判定しきい値の設定ガイド
  • FortiGate HA 構成時のバックアップ及びリストア実施ガイド
  • FortiGate HA 構成でのモニタインターフェースダウン時の通信断時間について解説
  • FortiGate HA 構成に関するQ&A 【良くありそうな疑問集】
• VDOM (バーチャルドメイン) 設定
  • FortiGate マルチ VDOM 基本設定ガイド [初心者向けに詳しく説明]
• トランスペアレントモード設定
  • FortiGate トランスペアレントモード基本設定ガイド【L2動作モード】
  • FortiGate トランスペアレントモードで HA 構成時の管理用 IP アドレス設定について解説
  • FortiGate トランスペアレント HA での切り替わり時の GARP 送信の仕様について解説
• システム系設定
  • 管理者アカウント設定
    • FortiGate 管理者アカウントの設定変更及び新規作成ガイド
  • 時刻・NTP 設定
    • FortiGate タイムゾーン、NTP同期、NTPサーバ設定ガイド
  • ロギング・Syslog 送信設定
    • FortiGate メモリロギングと Syslog サーバへのログ送信設定ガイド
    • FortiGate 暗黙の拒否ポリシーのログ及びセッション開始時のログの保存方法
  • SNMP 設定
    • FortiGate SNMP 監視のための設定ガイド [v1,v2c,v3]
  • DHCP サーバ機能設定
    • FortiGate DHCP サーバ機能設定ガイド
    • FortiGate での DHCP リレー設定ガイド
  • Proxy サーバ機能設定
    • FortiGate を Proxy サーバとして使用するための設定ガイド
  • アラートメール送信
    • FortiGate 設定変更発生時のアラートメール送信設定ガイド
• ネットワーク系設定
  • インターフェース設定
    • FortiGate インターフェース基本設定ガイド
    • FortiGate タグVLAN (VLANインターフェース) 設定ガイド
    • FortiGate VLANスイッチを使用したタグVLAN通信設定ガイド
    • FortiGate リンクアグリゲーションによるリンク冗長化設定ガイド
    • FortiGate で PPPoE 接続するための設定ガイド
  • ルーティング設定
    • FortiGate スタティックルート設定ガイド
    • FortiGate リンクモニタによる経路監視と自動経路切替の設定ガイド
    • FortiGate ポリシールート設定ガイド [送信元や宛先でルートを変更]
    • BGP
      • FortiGate BGP 基本設定ガイド AS,Neighbor,Network
      • FortiGate BGPルートのLocal-Preference,MED,AS-Path設定方法
      • FortiGate BGP でデフォルトルートを広報するための設定方法
      • FortiGate BGP ルートフィルタ設定ガイド【Distribute list in,out】
  • DNS 設定
    • FortiGate DNS ルックアップ用 DNS サーバと DNS サーバ機能の設定ガイド
  • NAT 及び NAPT 設定
    • FortiGate 送信元アドレス変換 (送信元 NAT,NAPT) 設定ガイド
    • FortiGate 宛先NAT,NAPT,ポートフォワーディング設定ガイド
    • FortiGate でのヘアピン NAT 設定ガイド
    • FortiGate セントラル NAT による送信元 NAT・宛先 NAT 設定ガイド
• ファイアウォール系設定
  • アドレス設定
    • FortiGate アドレスオブジェクト設定ガイド
  • サービス設定
    • FortiGate サービスオブジェクト設定ガイド
  • ファイアウォールポリシー設定
    • FortiGate ファイアウォールポリシー設定ガイド
    • FortiGate MAC アドレスフィルタリング設定ガイド
    • FortiGate ローカルインポリシーで管理アクセスを制限する方法
  • ゾーンを使用したポリシー設定
    • FortiGate ゾーンを使用したファイアウォールポリシー設定ガイド
• VPN 系設定
  • SSL-VPN 設定
    • FortiGate SSL-VPN 設定ガイド(AD 認証編)-テレワーク環境構築にも
    • FortiGate SSL-VPN 設定ガイド (Azure AD 認証編)
    • FortiGate クライアント証明書認証による SSL-VPN 設定ガイド
    • FortiGate SSL-VPN Email によるワンタイムパスワード設定ガイド
    • FortiClient VPN をインターネット非接続環境で使用する方法
  • IPsec VPN 設定
    • FortiGate 拠点間 IPsec VPN 接続設定ガイド
• Tips
  • FortiGate CLI の状態確認コマンドと情報取得コマンド一覧
  • FortiGate 設計構築時に役立つ Tips

Amazon アフィリエイトリンク

以下は Amazon アフィリエイトリンクです。インフラエンジニアにそこそこおすすめなアイテムです。

monofive RJ45-USB Cisco互換コンソールケーブル コネクタ保護カバー付き FTDIチップ MF-CBRJ45USB

Amazonで詳しくみる

エレコム CAT6中継コネクタ LD-RJ45JJ6Y2

Amazonで詳しくみる

エレコム CAT6 GigabitやわらかLANケーブル (ブルー)

Amazonで詳しくみる

サンワサプライ(Sanwa Supply) RJ-45プラグSOS ADT-RJ45SOS-10

Amazonで詳しくみる

バッファロー BUFFALO 有線LANアダプター LUA4-U3-AGTE-NBK ブラック Giga USB3.0対応 簡易パッケージ

Amazonで詳しくみる

【整備済み品】HP ノートパソコン 830G5/13.3型フルHD/Win 11/MS Office H&B 2019/第7世代i5-7200U 2.50GHz/メモリ 16GB/SSD 512GB/指紋リーダー/USB 3.0/WEBカメラ/初期設定済

Amazonで詳しくみる

note メンバーシップへの参加もお待ちしています！

note（ノート）

Shadowgarden.org -影の構築者集団-｜Shadowgarden.org -影の構築者集団- 陰の構築者集団「Shadowgarden.org」の活動拠点。 ネットワーク・インフラ業界に陰から影響を与えるため活動している。 当組織への問合せは「https://shadowgarden.org/inq...

【アフィリエイト】ブログ始めるならおすすめ

当サイト利用中レンタルサーバ【エックスサーバ】

安定性に定評があります

詳しくみる

当サイト利用中 WordPress テーマ 【SWELL】

シンプル・高機能・高速です

詳しくみる